Le dernier bulletin IC3 du FBI révèle que la cybercriminalité a coûté plus de 2,7 milliards de dollars aux entreprises américaines en 2018, un chiffre qui atteint ainsi pas moins de 7,45 milliards de dollars sur 4 ans. La fraude par email, la plus coûteuse, est dominée par le phishing, le spear phishing et les arnaques aux cartes cadeaux.
Les attaques BEC ont coûté 1,2 milliard de dollars aux entreprises américaines
Les attaques BEC (Business Email Compromise) représentent presque la moitié des pertes totales en 2018. Le bulletin IC3 révèle en effet qu’elles ont coûté aux entreprises américaines plus de 1,2 milliard de dollars en 2018, soit le double de 2017 et le triple de 2016.
Cette forme de spear phishing, qui compte parmi les plus coûteuses, a ainsi touché plus de 20 000 personnes en 2018. Elle consiste pour un hacker à se faire passer pour un dirigeant d’entreprise et à demander à un employé de procéder à un virement, souvent de l’ordre de plusieurs millions de dollars. En raison du gain possible, les hackers ont souvent recours à la technique du prétexte (pretexting), une forme d’ingénierie sociale, pour accroître leurs chances de réussite. Avant de formuler leur demande, ils vérifient que leur victime dispose de l’autorité nécessaire pour faire le virement et échangent bien souvent plusieurs emails pour gagner sa confiance.
Il y a peu, la paroisse de Saint Ambrose à Brunswick, dans l’Ohio, a ainsi perdu 1,75 million de dollars au cours d’une attaque de ce type. Alors que l’église de la paroisse était en cours de rénovation, des hackers ont réussi à compromettre des comptes de messagerie Office 365 internes. Une fois entrés dans le système, ils ont convaincu des employés de modifier les coordonnées bancaires de l’entreprise chargée des rénovations. Lorsque l’église a réglé à l’entreprise deux factures pour un montant total de 1,75 million de dollars, les fonds sont ainsi arrivés directement sur le compte des hackers. L’église n’a compris le stratagème que lorsque l’entreprise l’a contactée pour lui demander pourquoi ses dernières factures n’avaient pas été réglées.
Pic d’arnaques aux cartes cadeaux
D’après le FBI, les plaintes liées aux arnaques aux cartes cadeaux ont augmenté de manière importante en 2018. Cette attaque de spear phishing consiste pour le hacker, à usurper une adresse email et à demander à un employé d’acheter des cartes cadeaux en grande quantité. La seule usurpation d’adresses email a coûté près de 70 millions de dollars à ses victimes américaines en 2018. Elle se présente sous de nombreuses formes et peut être plus ou moins évoluée :
- Utilisation visible d’un alias : le hacker crée simplement une adresse email au nom de l’expéditeur souhaité en espérant que sa victime ne remarquera pas que l’adresse utilisée est inhabituelle. Simple, cette technique est aussi redoutablement efficace.
- Utilisation d’un domaine voisin : le hacker crée une adresse email qui ressemble à une adresse authentique, mais qui en constitue en réalité une légère variation, par exemple avec une lettre en plus.
- Usurpation du domaine : plus facile à détecter que les domaines voisins grâce aux protocoles d’authentification comme DMARC, l’usurpation du domaine consiste à utiliser une adresse qui semble être une réplique parfaite d’une adresse légitime.
De nombreux hackers se font passer pour de hauts dirigeants. Cette stratégie s’avère efficace en raison de la pression exercée sur les victimes : elles doivent agir vite pour éviter toute répercussion professionnelle. En 2018, un de nos employés a lui-même reçu un email de spear phishing dont l’auteur se faisait passer pour le PDG de Vade. La bannière d’avertissement intégrée à Vade pour Office 365 l’a alerté :
La fraude au dépôt direct monte en puissance
Une autre attaque BEC a fortement augmenté en 2018, il s’agit du détournement de paies. Elle a ainsi coûté aux entreprises américaines plus de 100 millions de dollars. Cette escroquerie consiste pour un hacker à envoyer un email de phishing à un employé pour récupérer ses identifiants et se connecter à la plateforme des RH de l’entreprise ou à un autre portail réservé aux employés. Une fois ces identifiants en poche, il modifie les informations bancaires de l’employé pour récupérer sa paie.
En 2019, Vade a par ailleurs signalé une augmentation du spear phishing visant à détourner des paies. Il s’agit d’une forme plus ciblée de fraude au dépôt direct dans laquelle un hacker demande personnellement à un employé des RH de faire un virement. Cette variante est plus facile à mettre en œuvre, car elle ne nécessite qu’un email, tandis que le phishing impose au hacker de créer une page sophistiquée.
[Infographie] : Plus la cible est large, plus l’atteindre est simple
Le phishing reste omniprésent
Le phishing a représenté à lui seul plus de 48 millions de dollars de pertes aux États-Unis en 2018, loin devant les malwares (7,4 millions de dollars). Ce chiffre est cohérent avec nos propres observations. La relative simplicité de la création d’emails et de pages de phishing par rapport au codage d’un malware fait de cette attaque une menace puissante, qui ne montre aucun signe de ralentissement. Au 4e trimestre 2018, Vade a ainsi détecté pas moins de 80 707 URL de phishing uniques, la majorité ciblant Microsoft.
Plus inquiétant encore, le phishing se combine au phishing dans des attaques en plusieurs phases, une stratégie populaire pour compromettre des comptes Microsoft Office 365. Pour ce type d’attaque, les hackers commencent par récupérer les identifiants d’un compte grâce à une page Web de phishing. Une fois qu’ils ont accès à Office 365, ils peuvent lancer des attaques de spear phishing internes et se faire passer pour des employés afin de convaincre d’autres employés de leur communiquer des identifiants ou de réaliser des transactions financières, comme nous l’avons vu avec l’exemple de la paroisse de Saint Ambrose.
[Ressource] Apprendre à reconnaître un email de phishing
Protéger votre société
La sophistication et le taux de réussite grandissants des attaques par email, associés aux montants incroyables des pertes révélées, montrent que les entreprises doivent non seulement investir dans la formation de leurs employés, mais aussi dans la sécurité de l'email. Le phishing est extrêmement difficile à détecter. Si l’URL d’un email n’est pas une page de phishing connue, l’email en question passera sans problème entre les mailles du filet de la plupart des filtres basés sur la réputation. Le spear phishing est encore plus difficile à détecter, car les emails de ce type n’incluent pas d’URL ou de code que le filtre peut analyser.
Les solutions de nouvelle génération qui reposent sur l’intelligence artificielle pour détecter les menaces inconnues réalisent une analyse comportementale sur l’intégralité de l’email et non pas sur l’URL qu’il peut contenir. Elles recherchent des fonctionnements abusifs, des anomalies dans les adresses et des techniques de masquage, comme des redirections. Les solutions de sécurité reposant sur l’IA sont plus efficaces que les filtres de messagerie basés sur la réputation et présentent également l’avantage de pouvoir apprendre de leurs erreurs.
Découvrez comment Vade pour Office 365 protège les entreprises du phishing, du spear phishing et des malwares.
